OpenVZ Forum: Russian » *SOLVED* shaping и veth

Home » International » Russian » *SOLVED* shaping и veth

Show: Today's Messages :: Show Polls :: Message Navigator
E-mail to friend

Re: shaping и veth [message #16270 is a reply to message #16246]

Thu, 30 August 2007 10:03

sa10
Messages: 103
Registered: May 2007
Location: Minsk

Senior Member

Quote:

> shaping вы настраиваете внутри VE на veth, так?

Да именно так.

Quote:

> 1. разумнее ограничивать не виртуальные интерфейсы, а реальные >куда уходит трафик вовне. т.е. какой смысл ограничивать трафик в >рамках одной машины?

То есть помесить фаервол на несущую машину (HN)?
Вероятно во многих случаях это разумно.
Наш проект - кластер из двух узлов под openvz где располагаются сетвые службы, из соображений безопасности почти каждая на отдельном VE в виртуальной DMZ и, собственно, фаервол нарезающий трафик для DMZ, для внешних и внутренних сетей.
Трафик внешней сети и сети DMZ на несущем узле не выделяется. Там есть соотвествующие этим сетям виланы без адресов и они включены в соответсвующие бриджи для подключения интерфейсов VE

Можно фаервол на HN перемесить, но тогда обнаружение уязвимости или погрешости в настройке дает возможность валить всю систему.
И я с трудом себе представляю как сможет фаервол на HN управлять пакетами между виртуальными машинами если HN этот трафик не видит.

Quote:

2. плюс мы всегда использовали CBQ... Хотя ANK говорит что HTB правильнее...

Вообще то все рекомендуют HTB. И наш shorewall использует именно его.

Quote:

а какие правила у вас настроены tc?

Воспроизводить их все (портянка на пару страниц) не требуется.
Можно проверить любой простейший вариант и попробовать ограничить на уровне близком к максимуму.
Я получаю трафик на уровне 2-4МБит при ограничении на 100Мбит с отрицательными значениями токенов, например
tokens: -16742272 ctokens: -1513472
Как я понимаю отрицательные значения говорят об отстутствии очереди.

Впрочем я могу выслать Вам почтой свои конфиги Sorewall, публиковать их в форуме будет неправильно.
Скажите куда, вероятно dev@sw.ru - общий адрес

--------------------

[Updated on: Thu, 30 August 2007 10:05]

Report message to a moderator

[Message index]

		SOLVED shaping и veth By: sa10 on Tue, 28 August 2007 12:58
		Re: shaping и veth By: dev on Wed, 29 August 2007 13:40
		Re: shaping и veth By: sa10 on Wed, 29 August 2007 15:04
		Re: shaping и veth By: dev on Wed, 29 August 2007 15:20
		Re: shaping и veth By: sa10 on Thu, 30 August 2007 10:03
		Re: shaping и veth By: gblond on Thu, 30 August 2007 11:51
		Re: shaping и veth By: sa10 on Thu, 30 August 2007 12:13
		Re: shaping и veth [SOLVED] By: sa10 on Thu, 06 September 2007 15:19
		Re: shaping и veth [SOLVED] By: sa10 on Wed, 12 September 2007 13:39
		Re: shaping и veth [SOLVED] By: sa10 on Mon, 01 October 2007 14:22
		Re: shaping и veth [SOLVED] By: gblond on Thu, 04 October 2007 06:16
		Re: shaping и veth [SOLVED] By: sa10 on Thu, 04 October 2007 13:59
		Re: shaping и veth [SOLVED] By: gblond on Fri, 05 October 2007 14:43

Previous Topic:	iptables-1.3.8-r1 Error inserting x_tables
Next Topic:	SOLVED TCP: time wait bucket table overflow

Goto Forum:

-=] Back to Top [=-

[ Syndicate this forum (XML) ] [

] [

]

Current Time: Sat Aug 17 06:24:13 GMT 2024

Total time taken to generate the page: 0.02817 seconds